.svg)
Zbyt techniczne podejście? Czas wrócić do sedna – odporność operacyjna
Dla wielu doświadczonych menedżerów i specjalistów w sektorze energetycznym, dyskusje wokół dyrektywy NIS2 mogą momentami brzmieć jak powtórzenie znanych prawd. Zarządzanie ryzykiem, plany awaryjne, ochrona infrastruktury – to przecież elementy, z którymi branża mierzy się od lat.
Często pojawiające się oferty i materiały skupiają się na technicznym cyberbezpieczeństwie, tłumaczeniu przepisów czy zarządzaniu incydentami, pomijając czasem sedno sprawy, które NIS2 tak naprawdę wzmacnia: zapewnienie niezakłóconego świadczenia usług energetycznych poprzez kompleksową odporność operacyjną.
Od dokumentu w sejfie do żywego procesu zarządzania ryzykiem
Prawdą jest, że sektor energetyczny, jako infrastruktura krytyczna, od dawna posiada rozbudowane systemy zarządzania kryzysowego i plany ochrony. Jednak NIS2, wraz z powiązanymi regulacjami jak DORA (dla niektórych podmiotów) i dyrektywa CER, wprowadza istotne zmiany w podejściu, które wykraczają poza dotychczasowe ramy. Nie chodzi już tylko o posiadanie planu na wypadek "W" czy planu ochrony infrastruktury krytycznej leżącego w sejfie. Dyrektywa wymusza spojrzenie na ciągłość działania jako dynamiczny, zintegrowany proces, nierozerwalnie związany z codziennym zarządzaniem ryzykiem cybernetycznym i operacyjnym.
Zakres obowiązków – wszystkie usługi pod lupą
Jednym z kluczowych wyzwań, które NIS2 uwypukla, jest kwestia zakresu. Dotychczasowa ustawa o KSC pozwalała skupić się na zdefiniowanych "usługach kluczowych". Tymczasem wytyczne Komisji Europejskiej do NIS2 (dotyczące art. 4 i obowiązków z art. 21) wskazują jasno: wymagane środki zarządzania ryzykiem, w tym BCM i zarządzanie kryzysowe, dotyczą wszystkich usług świadczonych przez podmiot kluczowy lub ważny. Dla firmy energetycznej oznacza to konieczność objęcia analizą i planowaniem nie tylko samego procesu wytwarzania, przesyłu czy dystrybucji energii, ale całego ekosystemu procesów i systemów (zarówno IT, jak i OT), które umożliwiają dostarczenie usługi do odbiorcy końcowego – tak, jak on ją postrzega. Rodzi to pytania o procesy wsparcia, systemy bilingowe, obsługę klienta czy zarządzanie łańcuchem dostaw – czy one również muszą być częścią spójnego planu odporności? Zgodnie z duchem NIS2, odpowiedź brzmi: tak, jeśli ich zakłócenie może wpłynąć na ciągłość świadczenia podstawowej usługi.
Zintegrowanie planów – jak uniknąć chaosu dokumentacyjnego?
Kolejnym praktycznym problemem, z którym mierzy się wiele organizacji energetycznych, jest mnogość istniejących planów: BCP, DRP, plany ochrony IK, plany reagowania na incydenty, plany zarządzania kryzysowego, czasem odrębne dla IT i OT. NIS2 nie nakazuje tworzenia jednego monolitycznego dokumentu, ale wymaga, by podejście do zarządzania ryzykiem i ciągłością było spójne i zintegrowane. Oznacza to konieczność przejrzenia istniejących planów, wyeliminowania niespójności, zdefiniowania jasnych powiązań i mechanizmów uruchamiania oraz zapewnienia, że wszystkie one składają się na całościową strategię odporności. Wyzwaniem staje się również kwestia potencjalnej klauzuli poufności dla dokumentacji wymaganej przez nową ustawę o KSC, co może utrudnić operacyjne wykorzystanie planów przez zespoły, które nie mają odpowiednich poświadczeń.
Ocena ryzyka – nie tylko norma, ale realne podstawy działania
W kontekście zarządzania ryzykiem, NIS2 również podnosi poprzeczkę. Choć polski projekt ustawy usuwa bezpośrednie odwołanie do ISO 22301 w kontekście BCM, a skupia się na ISO 27001 dla systemu zarządzania bezpieczeństwem informacji, to wymóg stosowania "odpowiednich i proporcjonalnych środków" opartych na ryzyku pozostaje centralny. Kluczowe staje się przeprowadzenie kompleksowej oceny ryzyka, która nie ogranicza się do analizy BIA pod kątem strat finansowych czy wizerunkowych, ale uwzględnia przede wszystkim wpływ zakłóceń na świadczone usługi energetyczne i potencjalne skutki dla odbiorców oraz całego systemu. Analiza ta musi obejmować pełne spektrum zagrożeń – od cyberataków na systemy IT/OT, przez awarie techniczne, błędy ludzkie, po zagrożenia fizyczne i problemy w łańcuchu dostaw (w tym ryzyka związane z dostawcami wysokiego ryzyka). Wyniki tej oceny powinny być realnym uzasadnieniem dla przyjętych strategii ciągłości działania i poziomu inwestycji w zabezpieczenia.
Od cyberbezpieczeństwa do wartości biznesowej – nowa rola odporności
Podsumowując, dla sektora energetycznego NIS2 to nie rewolucja, ale ewolucja w kierunku głębszej integracji i szerszego spojrzenia na odporność. To sygnał, że cyberbezpieczeństwo nie jest celem samym w sobie, lecz narzędziem do zapewnienia fundamentalnej misji – niezakłóconych dostaw energii. Wyzwania leżą w przejściu od silosowego zarządzania poszczególnymi planami i ryzykami do stworzenia spójnego, obejmującego wszystkie usługi systemu zarządzania odpornością operacyjną. To wymaga nie tylko dostosowania dokumentacji, ale przede wszystkim zmiany kultury organizacyjnej i strategicznego podejścia, w którym ciągłość działania jest postrzegana jako kluczowy element wartości biznesowej i zobowiązanie wobec społeczeństwa.
